|
|
|||
发布日期:2011-01-19
攻击名称:sql注入攻击
操作系统:Windows、Linux、Unix以及其它
应用服务:其它
严重级别:
BUG ID:
CVE ID:
| 描述:
|
SQL注入漏洞,攻击者可以通过FINDRICSET存储过程执行特权SQL命令。
影响:
拒绝服务、信息泄露、数据库完整性破坏
受影响的系统:
N/A
参考:
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html
| 解决方案:
|
在设计应用程序时,完全使用参数化查询(Parameterized Query)来设计数据访问功能。
在组合SQL字符串时,先针对所传入的参数作字符取代(将单引号字符取代为连续2个单引号字符)。
如果使用PHP开发网页程序的话,亦可打开PHP的魔术引号(Magic quote)功能(自动将所有的网页传入参数,将单引号字符取代为连续2个单引号字符)。
其他,使用其他更安全的方式连接SQL数据库。例如已修正过SQL注入问题的数据库连接组件,例如ASP.NET的SqlDataSource对象或是 LINQ to SQL。
使用SQL防注入系统。